មេរោគទូរស័ព្ទចល័ត XploitSpy

យុទ្ធនាការមេរោគ Android ថ្មីមួយដែលមានឈ្មោះថា eXotic Visit បាននិងកំពុងកំណត់គោលដៅអ្នកប្រើប្រាស់យ៉ាងសកម្មនៅក្នុងតំបន់អាស៊ីខាងត្បូង ជាពិសេសនៅក្នុងប្រទេសឥណ្ឌា និងប៉ាគីស្ថាន។ យុទ្ធនាការនេះត្រូវបានចែកចាយមេរោគតាមរយៈគេហទំព័រឯកទេស និង Google Play Store ។

អ្នកស្រាវជ្រាវបាននឹងកំពុងតាមដានយុទ្ធនាការនេះតាំងពីខែវិច្ឆិកា ឆ្នាំ 2021 មកម្ល៉េះ ហើយរកមិនឃើញមានទំនាក់ទំនងជាមួយអ្នកគំរាមកំហែង ឬក្រុមណាមួយដែលគេស្គាល់នោះទេ។ ពួកគេបានដាក់ស្លាកក្រុមនៅពីក្រោយវាជា Virtual Invaders។

កម្មវិធីគំរាមកំហែងដែលបានទាញយកពីប្រភពទាំងនេះផ្តល់នូវមុខងារស្របច្បាប់ ប៉ុន្តែក៏មានកូដពីប្រភពបើកចំហរ Android XploitSPY RAT ផងដែរ។ យុទ្ធនាការនេះហាក់ដូចជាផ្តោតខ្លាំង ដោយកម្មវិធីនៅលើ Google Play មានការដំឡើងតិចតួចបំផុត ចាប់ពីសូន្យដល់ 45។ ជាលទ្ធផលនៃការស្រាវជ្រាវ កម្មវិធីទាំងនេះត្រូវបានដកចេញពីវេទិកា។

ប្រតិបត្តិការវាយប្រហារបានកេងប្រវ័ញ្ចកម្មវិធីក្លែងក្លាយជាច្រើន។

កម្មវិធីបោកប្រាស់នៅតែមានមុខងារ និងជាចម្បងជាវេទិកាផ្ញើសារដូចជា Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger និង Zaangi Chat ។ វាត្រូវបានគេរាយការណ៍ថាមានបុគ្គលប្រហែល 380 នាក់បានធ្លាក់ខ្លួនជាជនរងគ្រោះក្នុងការទាញយកកម្មវិធីទាំងនេះ និងបង្កើតគណនី ដោយមានបំណងប្រើប្រាស់វាសម្រាប់ការផ្ញើសារ។

លើសពីនេះទៀត ជាផ្នែកមួយនៃយុទ្ធនាការ eXotic Visit កម្មវិធីដូចជា Sim Info និង Telco DB ត្រូវបានប្រើប្រាស់។ កម្មវិធីទាំងនេះអះអាងថាផ្តល់ព័ត៌មានអំពីម្ចាស់ស៊ីមកាតដោយគ្រាន់តែបញ្ចូលលេខទូរស័ព្ទដែលមានមូលដ្ឋាននៅប្រទេសប៉ាគីស្ថាន។ លើសពីនេះ កម្មវិធីផ្សេងទៀតធ្វើពុតជាសេវាកម្មដឹកជញ្ជូនអាហារនៅក្នុងប្រទេសប៉ាគីស្ថាន និងមន្ទីរពេទ្យឥណ្ឌាស្របច្បាប់ដែលគេស្គាល់ថាជាមន្ទីរពេទ្យឯកទេស (ឥឡូវត្រូវបានប្តូរឈ្មោះជាមន្ទីរពេទ្យ Trilife)។

មេរោគទូរស័ព្ទចល័ត XploitSpy មានជួរធំទូលាយនៃមុខងាររំខាន

XploitSPY ដែលដំបូងបានបង្ហោះទៅកាន់ GitHub នៅដើមខែមេសា ឆ្នាំ 2020 ដោយអ្នកប្រើប្រាស់ឈ្មោះ RaoMK មានទំនាក់ទំនងជាមួយក្រុមហ៊ុនដំណោះស្រាយសុវត្ថិភាពតាមអ៊ីនធឺណិតរបស់ឥណ្ឌាដែលមានឈ្មោះថា XploitWizer ។ វាត្រូវបានគេកំណត់ថាជាដេរីវេនៃ Trojan Android ប្រភពបើកចំហមួយផ្សេងទៀតដែលហៅថា L3MON ដែលខ្លួនវាត្រូវបានបំផុសគំនិតដោយ AhMyth ។

មេរោគនេះមានលទ្ធភាពទូលំទូលាយដែលអនុញ្ញាតឱ្យវាប្រមូលទិន្នន័យរសើបពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។ វាអាចប្រមូលផ្តុំទីតាំង GPS ថតសំឡេងពីមីក្រូហ្វូន ចូលប្រើទំនាក់ទំនង សារ SMS កំណត់ហេតុការហៅទូរសព្ទ និងមាតិកាក្ដារតម្បៀតខ្ទាស់។ វាក៏មានសមត្ថភាពក្នុងការទាញយកព័ត៌មានលម្អិតនៃការជូនដំណឹងពីកម្មវិធីពេញនិយមដូចជា WhatsApp, Facebook, Instagram និង Gmail ក៏ដូចជាការទាញយក និងបង្ហោះឯកសារ មើលកម្មវិធីដែលបានដំឡើង និងប្រតិបត្តិពាក្យបញ្ជាដែលបានដាក់ជាជួរ។

លើសពីនេះទៅទៀត កម្មវិធីដែលបង្កគ្រោះថ្នាក់ត្រូវបានកម្មវិធីដើម្បីថតរូប និងរាប់ឯកសារពីថតជាក់លាក់ដែលភ្ជាប់ជាមួយរូបថតអេក្រង់ WhatsApp, WhatsApp Business, Telegram និងកំណែកែប្រែរបស់ WhatsApp ដែលត្រូវបានគេស្គាល់ថាជា GBWhatsApp ។

អ្នកវាយប្រហារបង្ហាញការសង្កត់ធ្ងន់កាន់តែខ្លាំងទៅលើការបំបាំងកាយ

ពេញមួយឆ្នាំមកនេះ តួអង្គគំរាមកំហែងទាំងនេះបានប្ដូរលេខកូដដែលបំផ្លាញរបស់ពួកគេដោយបន្ថែមការយល់ច្រឡំ ការរកឃើញកម្មវិធីត្រាប់តាម ការលាក់អាសយដ្ឋាន C2 និងការប្រើប្រាស់បណ្ណាល័យដើម។ គោលបំណងសំខាន់នៃបណ្ណាល័យដើម 'defcome-lib.so' គឺរក្សាព័ត៌មានម៉ាស៊ីនមេ C2 ដែលត្រូវបានអ៊ិនកូដ និងលាក់ពីឧបករណ៍វិភាគឋិតិវន្ត។ ប្រសិនបើកម្មវិធីត្រាប់តាមត្រូវបានរកឃើញ កម្មវិធីនេះប្រើម៉ាស៊ីនមេ C2 ក្លែងក្លាយ ដើម្បីគេចពីការរកឃើញ។

កម្មវិធីមួយចំនួនត្រូវបានផ្សព្វផ្សាយតាមរយៈគេហទំព័រដែលបង្កើតជាពិសេសសម្រាប់គោលបំណងនេះ 'chitchat.ngrok.io' ដែលផ្តល់តំណទៅកាន់ឯកសារកញ្ចប់ Android 'ChitChat.apk' ដែលបង្ហោះនៅលើ GitHub ។ បច្ចុប្បន្ន​នេះ​គេ​មិន​ដឹង​ថា​តើ​ជនរងគ្រោះ​ត្រូវ​បាន​គេ​បញ្ជូន​ទៅ​កម្មវិធី​ទាំងនេះ​ដោយ​របៀប​ណា​ទេ។

អ្នកស្រាវជ្រាវបញ្ជាក់ថាការចែកចាយបានចាប់ផ្តើមនៅលើគេហទំព័រជាក់លាក់ ហើយបន្ទាប់មកថែមទាំងបានផ្លាស់ប្តូរទៅហាង Google Play ផ្លូវការ។ គោលបំណងនៃយុទ្ធនាការនេះគឺចារកម្ម ហើយវាប្រហែលជាកំណត់គោលដៅជនរងគ្រោះនៅក្នុងប្រទេសប៉ាគីស្ថាន និងឥណ្ឌា។